SOAR

SOAR (Security Orchestration Automation and Response) est un système qui recouvre trois grandes fonctions:

La réponse,
L’orchestration,
Et l’automatisation des systèmes de sécurité informatique.

Avec le SIEM et la CTI, c’est l’une des trois fonctions principales d’une plateforme SOC.

Un système d’information peut rapidement devenir extrêmement complexe: des technologies variées interagissent avec des utilisateurs aux objectifs et compétences diversifiées. Assurer la sécurité opérationnelle exige donc de pouvoir agir sur ces différentes composantes à tous les niveaux (terminaux, réseau, contrôle d’accès, etc.), de la façon la plus efficace et efficiente possible. Au fil du temps, des technologies ont émergé pour assurer cette fonction: ce sont les SOAR.

À quoi sert un SOAR ?

Comme son nom l’indique, un système de Security Orchestration Automation and Response recouvre trois grandes fonctions: la réponse, l’orchestration et l’automatisation des systèmes de sécurité informatique. Avec le SIEM et la CTI, c’est l’une des trois fonctions principales d’une plateforme SOC/CSIRT.

Réponse

La première mission d’un SOAR est de pouvoir transmettre des instructions actives à d’autres systèmes. C’est particulièrement utile dans un contexte de réponse à incident, lorsqu’il faut pouvoir rapidement circonscrire la menace ou reconfigurer le système d’information dans un mode dégradé.

Pour cela, le SOAR doit disposer d’un vaste catalogue d’intégrations, afin de savoir parler le langage des différents équipements avec lesquels il devra pouvoir interagir :

Depuis les EDR jusqu’au pare-feu,
En passant par la gestion des privilèges ou les applications.

Bien qu’il existe certains standards d’interopérabilité, aucun n’est réellement dominant. Aussi, connecter des systèmes parfois hérités requiert une expertise particulière.

Orchestration

La seconde mission d’un SOAR est de pouvoir orchestrer ces actions. C’est-à-dire en piloter l’enchaînement pour optimiser les ressources disponibles et obtenir l’effet souhaité.
Sans cette capacité, il reviendrait à un opérateur de déclencher ces différentes séquences manuellement, l’une après l’autre, en tentant de respecter les procédures en vigueur dans l’organisation…

De nos jours, cette capacité d’orchestration se manifeste sous la forme de playbooks. Ce sont des scripts décrivant des enchaînements de réponses et de procédures.
Pour être accessibles au plus grand nombre, ces playbooks peuvent généralement être édités visuellement, parfois sans saisir la moindre ligne de code: on parle de SOAR no-code ou low-code.

Il est à noter que l’orchestration ne concerne pas uniquement la réponse à incident. Il peut également être utile en soutien à l’investigation (par exemple, pour enrichir des alertes) ou en appui des analystes CTI.

Automatisation

Enfin, la dernière grande fonction d’un SOAR est d’automatiser tout ce qui peut et doit l’être. En effet, dans un grand système d’information, il n’est pas réaliste que toutes les actions soient réalisées manuellement, même orchestrées par des playbooks.

C’est encore plus important lorsque des réactions réflexes sont nécessaires, par exemple pour contenir les premières phases d’une tentative d’intrusion et neutraliser les menaces avant impact.

Ainsi, les fonctions d’automatisation d’un SOAR peuvent aller :

Du simple déclenchement conditionnel (“si tel évènement survient, alors déclencher telle action”),
À des scénarios beaucoup plus étoffés, voire non scriptés avec l’aide d’intelligence artificielle.

L’automatisation est rendue nécessaire par la pénurie d’experts en réponse à incident :

Par l’exigence de réactivité,
Et par la complexité des systèmes supervisés.

Cependant, l’action humaine reste toujours cruciale: s’il devient parfois possible de sortir toute intervention humaine, cela reste encore très circonscrit à des réponses basiques.

Les problématiques de responsabilité et d’assurance viennent encore complexifier la donne:

Si l’arrêt de la production d’une chaîne de montage a été déclenchée par un automatisme, qui doit être responsable du manque à gagner? le SOC? le fournisseur du SOAR? le prestataire intégrateur?
Si l’automatisation a fait d’énormes progrès, il reste illusoire de se passer complètement de l’intervention humaine.

Comment fonctionne un SOAR ?

Un SOAR moderne comporte deux aspects principaux:

L’interconnexion, qui permet de le connecter aux autres équipements et systèmes de sécurité,
Et l’orchestration, qui permet de gérer et de déclencher les playbooks et les cas.

L’interconnexion doit permettre au SOAR

1° d’établir effectivement la liaison de données avec un système tiers,
et 2° de savoir quelles actions ou type d’actions sont possibles sur quels périmètres.

C’est ce que l’on appelle la taxonomie des systèmes de sécurité. Ce module correspond à une phase de déploiement et de maintenance du système de sécurité.

L’orchestration est plutôt orientée opérations, puisque c’est ici que l’on retrouvera la gestion des cas. Mais d’abord, il faut pouvoir accéder à ou paramétrer des playbooks. Ce module fournit donc un éditeur de playbooks et des bibliothèques de playbooks, parfois collaboratifs, compatibles de la taxonomie présentes dans le système d’information. Un playbook qui déclencherait l’interruption d’un processus sur un terminal compromis ne servirait à rien si aucun mécanisme de pilotage des terminaux n’est disponible, par exemple avec un EDR…

Comment choisir la bonne solution SOAR ?

Cœur du réacteur d’une plateforme opérationnelle de sécurité (SecOps), un SOAR devrait:

Disposer d’un vaste catalogue d’intégrations, compatible de plusieurs standards d’interconnexion, comportant une grande versatilité d’actions disponibles, pour rendre le déploiement rapide;
Proposer une interface de gestion de playbooks simple et accessible, pour rendre la prise en main accessible à un personnel moins spécialisé;
Proposer une bibliothèque de playbooks génériques pour être opérationnels dès le lancement;
Assurer la gestion des cas et en particulier la capitalisation à travers l’export de télémétrie voire de CTI;
Disposer d’automatisations puissantes correspondants aux réels besoins de sécurité

Assurer la meilleure complémentarité entre les équipes et les outils, en particulier dans la transparence des données et du reporting.

Cependant, en tant que plaque tournante des opérations de sécurité, les technologies SOAR sont désormais systématiquement intégrées aux plateformes SOC où elles s’interfacent nativement avec des fonctions de type SIEM et CTI. Ainsi, on trouve de moins en moins de produits pure-players pertinents, et ceux qui restent jouent principalement le rôle de middleware.

Les fonctionnalités SOAR sont désormais des must-have des solutions de sécurité opérationnelle. C’est le cas sur SEKOIA.IO. Il n’est pas possible de déployer notre module SOAR, baptisé Symphony, tout seul. Il est fourni systématiquement dans tous nos produits, depuis la production de renseignement avec notre plateforme de Threat Intelligence :

Où il facilite le travail d’enrichissement et de contextualisation des analystes,
Jusqu’à la réponse étendue avec notre plateforme XDR où il permet une vaste gamme de réponse en temps réel, autonomes ou déclenchées.

Découvrez la manière dont SEKOIA.IO peut vous aider à agir rapidement face aux menaces informatiques.

Autres termes

EDR

EPP

EPT

Autres termes

EDR(Endpoint Detection and Response)

EDR est l’acronyme de Endpoint Detection and Response. Le terme EDR est apparu pour la première fois en 2013 dans une analyse de la société de conseil Gartner. Analysant le fait que les hackers ciblent prioritairement les postes de travail des salariés, Gartner a introduit le concept de “Endpoint Detection and Response” pour désigner une solution de sécurité permettant de détecter et de remédier aux cybermenaces ciblant les terminaux (ordinateur, serveur).

EPP(Endpoint Protection Platform)

EPP (Endpoint Protection Platform ou plateforme de protection des terminaux en français) est une solution de cybersécurité qui aide les organisations à protéger leurs endpoints (terminaux) tels que les ordinateurs portables, les ordinateurs de bureau, les serveurs et les appareils mobiles.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Contactez-nous

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !

Contact us

Cookie	Durée	Description
__hssrc	session	Ce cookie est réglé par Hubspot. Selon leur documentation, chaque fois que HubSpot change le cookie de session, ce cookie est également défini pour déterminer si le visiteur a redémarré son navigateur. Si ce cookie n’existe pas lorsque HubSpot gère les cookies, il est considéré comme une nouvelle session.
cookielawinfo-checkbox-advertisement	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Ces cookies sont définis par GDPR Cookie Consent WordPress Plugin. Le cookie est utilisé pour mémoriser le consentement de l’utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Les cookies sont utilisés pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-performance	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Le cookie est utilisé pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Performance".

Cookie	Durée	Description
__hssc	30 minutes	Ce cookie est défini par HubSpot. Le but du cookie est de garder une trace des sessions. Ceci est utilisé pour déterminer si HubSpot doit incrémenter le numéro de session et les horodatages dans le cookie __hstc. Il contient le domaine, viewCount (incréments de chaque page dans une session), et l’horodatage de début de session.
bcookie	2 ans	Ce cookie est défini par linkedIn. L’objectif du cookie est d’activer les fonctionnalités LinkedIn sur la page.
lang	session	Ce cookie est utilisé pour stocker les préférences linguistiques d’un utilisateur pour diffuser du contenu dans cette langue stockée la prochaine fois que l’utilisateur visite le site Web.
lidc	1 jour	Ce cookie est défini par LinkedIn et utilisé pour le routage.
pll_language	1 an	Ce cookie est défini par Polylang plugin pour les sites web WordPress. Le cookie stocke le code de langue de la dernière page consultée.

Cookie	Durée	Description
__hstc	1 an et 24 jours	Ce cookie est défini par Hubspot et est utilisé pour le suivi des visiteurs. Il contient le domaine, utk, l’horodatage initial (première visite), l’horodatage dernier (dernière visite), l’horodatage actuel (cette visite) et le numéro de session (incréments pour chaque session suivante).
_ga	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données des visiteurs, des sessions, des campagnes et pour suivre l’utilisation du site pour le rapport d’analyse du site. Les cookies stockent les informations de manière anonyme et attribuent un numéro généré aléatoirement pour identifier les visiteurs uniques.
_gat_gtag_UA_152945562_1	1 minute	Ce cookie est défini par Google et est utilisé pour distinguer les utilisateurs.
_gcl_au	3 mois	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 jour	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport analytique sur la façon dont le site Web se comporte. Les données recueillies, y compris le nombre de visiteurs, la source d’où ils viennent, et les pages visitées sous une forme anonyme.
hubspotutk	1 an et 24 jours	Ce cookie est utilisé par HubSpot pour garder une trace des visiteurs du site. Ce cookie est transmis à Hubspot lors de la soumission des formulaires et utilisé lors de la déduplication des contacts.

Cookie	Durée	Description
bscookie	2 ans	Ce cookie est un cookie d’identification de navigateur défini par les boutons de partage LinkedIn et les balises publicitaires.
Inbound Converter	2 ans	Ce script communique à TechTarget les comptes qui, sur la base d'une recherche IP inversée, ont visité le site Web. Les informations transmises sont les suivantes : URL de la page, horodatage de la visite et l'adresse IP.
test_cookie	15 minutes	Ce cookie est défini par doubleclick.net. L’objectif du cookie est de déterminer si le navigateur de l’utilisateur supporte les cookies.

Cookie	Durée	Description
AnalyticsSyncHistory	1 mois	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Fonctionnel".
cookielawinfo-checkbox-others	1 an	Pas de description.
li_gc	2 ans	Pas de description.
UserMatchHistory	1 mois	Linkedin - Utilisé pour suivre les visiteurs sur plusieurs sites Web, afin de présenter une publicité pertinente en fonction des préférences du visiteur.